Sonraki Nesil Sağlık Hizmeti Kusuru 7 Aydan Sonra Hala Kullanılıyor

3. Taraf Risk Yönetimi, Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar

Saldırganlar Yaygın Olarak Kullanılan Mirth Connect Veri Entegrasyon Platformunu Hedefliyor

Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
21 Mayıs 2024

Pazartesi günkü CISA uyarısına göre, saldırganlar, yaygın olarak kullanılan, açık kaynaklı bir veri entegrasyon platformu olan NextGen Healthcare Mirth Connect ürünündeki bir güvenlik açığından aktif olarak yararlanıyor; bu güvenlik açığının kamuya açıklanmasından yedi ay ve bir yamanın ilk kez kullanıma sunulmasından aylar sonra.

Ayrıca bakınız: 2024 Küresel Tehdit Ortamına Genel Bakış

Federal kurum, bir NextGen Healthcare Mirth Connect “güvenilmeyen veri güvenlik açığının seri durumdan çıkarılması” olan CVE-2023-43208 güvenlik açığını, “aktif istismar kanıtlarına” dayanarak Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna ekledi. CISA, rapor edilen istismar türüne ilişkin örnekler sunmadı.

NextGen güvenlik açığı ilk olarak Ekim ayında bildirildi ve ardından Ocak ayında Horizon3.ai güvenlik firmasındaki araştırmacılar tarafından güncellendi.

NIST, soruna ilişkin son açıklamasında “Sürüm 4.4.1’den önceki NextGen Healthcare Mirth Connect, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine karşı savunmasızdır. Bu güvenlik açığı, CVE-2023-37679’un tamamlanmamış yamasından kaynaklanmaktadır.” dedi.

Horizon3.ai, Ekim 2023’te CVE-2023-43208 için bir danışma belgesi yayınladı; bu belgede firma, sorunu NextGen Mirth Connect’i etkileyen “önceden kimliği doğrulanmış bir uzaktan kod yürütme güvenlik açığı” olarak tanımladı.

“Mirth Connect kullanıcısıysanız ve henüz yama yapmadıysanız, 4.4.1 yama sürümüne veya daha yeni bir sürüme yükseltme yapmanızı önemle tavsiye ederiz. Bu, kendi sızma testi ürünümüz NodeZero’nun başarıyla kullandığı, kolayca istismar edilebilen bir güvenlik açığıdır. Horizon3.ai Ocak ayında yaptığı açıklamada, bir dizi sağlık kuruluşuna karşı “dedi.

Horizon3.ai, bunun kimliği doğrulanmamış bir uzaktan kod yürütme güvenlik açığı olduğunu, bunun da saldırganların önceden herhangi bir kimlik bilgisi olmadan bu güvenlik açığından yararlanabileceği ve Mirth Connect sunucusunun tamamen tehlikeye girebileceği anlamına geldiğini söyledi.

Horizon3.ai araştırmacısı ve baş mimarı Naveen Sunkavally Salı günü Information Security Media Group’a verdiği demeçte, “Mirth Connect’in sağlık kuruluşları arasında yaygın olarak benimsendiği göz önüne alındığında, sağlık kuruluşlarının bu güvenlik açığı kullanılarak saldırıya uğraması çok muhtemeldir.” dedi.

Sunkavally ISMG’ye şunları söyledi: “Etkilenen belirli varlıklar hakkında şu anda ayrıntılara sahip değiliz. Nisan ayında Microsoft tehdit istihbaratı, Çin merkezli tehdit aktörü Storm-1175’in ilk erişim için CVE-2023-43208’i kullandığını bildirdi.”

“Bu güvenlik açığı, Microsoft tehdit istihbaratı tarafından bildirildiği üzere sağlık kuruluşlarına ilk erişim için kullanılabilir. Ayrıca dahili ağlar içinde yanal hareket için de kullanılabilir ve bu da hassas sağlık hizmetleri verilerine erişime yol açar” dedi.

Sunkavally, güvenlik açığının Mirth Connect 4.4.1’de giderildiğini ancak bazı kuruluşların bu sürüme yükseltme yapmasının zor olabileceğini söyledi. “En son sürüme yükseltmenin mevcut entegrasyonları bozabileceğine ve bazı kuruluşların özel yamalar uygulayabileceğine dair raporlar gördük. Ayrıca, açık kaynaklı bir çözüm olduğu için Mirth Connect, ortamdaki diğer ürünlere de yerleştirilebilir. “dedi.

“Gerçekten yama yapılıp yapılmadığını kontrol etmenin en iyi yolu, ortamınızdaki güvenlik açığından yararlanmaya çalışarak bunun hâlâ kullanılabilir olup olmadığını görmektir.”

Sunkavally, Mirth Connect’i internete maruz bırakan kuruluşların bu güvenlik açığını acilen kapatması veya internet bağlantısını tamamen kesmesi gerektiğini söyledi. “Dahili ağlarda, bu güvenlik açığının düzeltilmesi gerekenler listesinin üst sıralarında yer alması gerekir. Bu, Mirth Connect’in ortamınızda nasıl kullanıldığına ve bunun aracılığıyla ne tür hassas verilerin açığa çıktığına bağlıdır.”

Bulut tabanlı elektronik sağlık kayıtları sağlayıcısı NextGen, ISMG’nin güvenlik açığı veya bildirilen istismar türleri hakkında yorum yapma talebine hemen yanıt vermedi.

NextGen, Nisan 2023’te keşfedilen ve 1 milyon kişiyi etkileyen bir sağlık verisi ihlali nedeniyle halihazırda en az bir düzine toplu dava önerisiyle karşı karşıya.

Şirket, düzenleyicilere, bilgisayar korsanlarının, NextGen ile ilgisi olmayan diğer kaynaklardan veya olaylardan çalınmış gibi görünen müşteri kimlik bilgilerini kullanarak bir veritabanına yetkisiz erişim elde ettiğini söyledi. Şirket, saldırganların bu olayda ne tür bir güvenlik açığından yararlanmış olabileceğini söylemedi (bkz: NextGen, İhlalin Ardından Şu ana Kadar Bir Düzine Davayla Karşı Karşıya).